Guía Avanzada para Configurar iThemes Security paso a paso

Guía Avanzada para Configurar iThemes Security paso a paso
  • 15
    Oct

Guía Avanzada para Configurar iThemes Security paso a paso

La seguridad en WordPress debería ser una de tus principales preocupaciones. Y para tener este tema más que cubierto te presento al que considero el mejor plugin de seguridad para WordPress: iThemes Security. Tal vez no te suene del todo el nombre de este plugin, pero es que iThemes Security es el conocido anteriormente con el nombre Better WP Security (o WordPress Security). Obviamente, ahora está mucho más actualizado y con múltiples opciones para mejorar la seguridad de WordPress y evitar el malware con un blindaje a prueba de cualquier tipo de desastre que nos pudiera ocurrir en nuestra web. Se han dado casos de ataques masivos a WordPress o a páginas concretas, así que no te arriesgues, instala el plugin de seguridad de WordPress Ithemes Security y te aseguro que podrás dormir tranquilo todos los días.

Así que no te preocupes, con este artículo pretendo que sepas cómo proteger tu web o blog de aquellas personas que van con malas intenciones de una forma fácil y sencilla. Te aviso de que es un post bastante largo porque hay mucho que configurar, pero créeme; vale la pena.

Otro plugin también muy bueno es Wordfence Security pero en este artículo voy a hablarte de forma exclusiva de cómo configurar iThemes Security, que es el que considero mejor plugin de seguridad en WordPress.

Instalar plugin iThemes Security

Como para cualquier otro plugin, instalarlo es bastante sencillo:

Desde Plugins > Añadir nuevo > Teclerar ithemes security en el campo de búsqueda > Instalar y activar el plugin llamado iThemes Security (formerly Better WP Security).

O si lo prefieres, puedes descargar el plugin desde el repositorio oficial de plugins de WordPress y subirlo desde la misma sección de plugins.

plugin-ithemes-security-wordpress

Cómo Configurar iThemes Security

Una vez tengamos el plugin instalado, en la barra lateral izquierda de WordPress podemos encontrar el apartado Security, dentro de este haz click en Settings y pasemos a configurar iThemes Security paso a paso.

En esta sección nos encontraremos con 28 áreas diferentes para configurar cualquier aspecto de nuestra seguridad de WordPress. De estas áreas, 22 son recomendables y 6 son avanzadas. 7 de estas secciones son de la versión pro así que esas no las vamos a ver.

Opciones Avanzadas de Seguridad

configurar ithemes security opciones avanzadas

Primero vamos a ver algunas de las opciones avanzadas que son:

  • Admin User – Usuario Administrador
  • Hide Backend – Ocultar Escritorio
  • Change Content Directory – Cambiar contenido del directorio
  • Change Database Table Prefix – Cambiar el prefijo de la tabla de la base de datos
  • Server Config Rules – Reglas de configuración del servidor
  • wp-config.php Rules – Reglas de wp-config.php

Admin User – Usuario Administrador

El nombre de usuario que utilizas al loguearte en WordPress debería ser distinto de “Admin”. Como la mayoría de los ataques son automatizados, muchos de los ataques pondrán en el nombre de usuario Admin para poder entrar a tu WordPress. Así que poner un nombre de usuario diferente a Admin, administrador, administrator, etc., es la primera medida de seguridad que deberías tomar. Si ya tienes un usuario diferente a Admin puedes saltarte este paso o incluso puede que no tengas esta opción visible.

Una vez puesto el nombre de usuario, WordPress no te permite cambiarlo por uno más seguro, pero gracias a este apartado podrás cambiar el nombre de usuario o cambiar la ID de tu nombre de usuario.

¿Qué es esa ID?

Cada vez que un usuario crea un nombre de usuario WordPress le asigna una ID numérica para identificarlo. El primer nombre de usuario siempre viene con la ID 1. Con esta opción puedes cambiar la ID para que no sea 1 y sea más difícil de identificar por extraños. Solo tienes que marcar la única casilla que hay y guardarlo. Ya tendrás la ID cambiada. Tras hacerlo te sacará de WordPress y tendrás que volver a loguearte. Si has marcado la casilla se habrá cambiado la ID y podrás ver que el apartado Admin User ha desaparecido de las opciones del plugin de WordPress iThemes Security. Esto indica que este apartado de seguridad de WordPress ya está solucionado. Pasemos al siguiente.

Hide Backend – Ocultar Escritorio

Aquí puedes ocultar la página por la que tú accedes a tu WordPress (como normal general sería tu url acabada en /wp-admin). Si la ocultas haces que sea más difícil que los ataques automáticos detecten la página de login a tu WordPress. Si habilitas la casilla de Hide Backend podrás cambiar la URL del login (/wp-admin por defecto) a la que tú decidas. Esta opción solo te la recomiendo si eres usuario avanzado de WordPress. Si eres nuevo no te la recomiendo por el simple hecho de que todos los cursos, guías y recursos que encuentres sobre WordPress te hablarán de la URL de login por defecto y si la has cambiado puedes hacerte un lío.

Change Content Directory – Cambiar contenido del directorio

Esta área es muy similar a la anterior. En este caso te cambia el directorio por defecto (/wp-content) por el que tú especifiques. No te la recomiendo salvo que sepas lo que haces y seas un usuario con experiencia. Ten cuidado con esta alternativa porque si cambias el directorio wp-content por otro puede dejar de funcionar los temas y los plugins que tengas instalados que, por defecto, se guardan en este directorio.

Change Database Table Prefix – Cambiar el prefijo de la tabla de la base de datos

El prefijo de las tablas de la base de datos de WordPress es wp_.  Te recomiendo configurar ithemes security con esta opción activada. No afecta en nada a la usabilidad o a las carpetas de WordPress y es un plus de seguridad muy importante. Esta sección te permite cambiar este prefijo por defecto por otro aleatorio que te será indicado cuando hayas seleccionado la opción Sí o Yes y le hayas dado a Guardar Ajustes o Save Settings.

Gracias a esta simple tontería impedirás que puedan encontrar vulnerabilidades y mejorar la seguridad de tu base de datos puesto que estará oculta a todos los ataques automáticos y a la mayoría de los ataques manuales que intenten hacerte.

El mismo plugin te informa que deberías hacer una copia de la base de datos de tu WordPress antes de habilitar esta medida de seguridad. Te recomiendo hacerla por lo que pueda pasar pero te puedo asegurar que jamás me ha dado ningún problema en ninguno de los WordPress donde la he habilitado (que han sido unos cuantos). Ithemes Security también te permite hacer copias de seguridad pero yo prefiero hacerlas con otro plugin que me las envíe a Dropbox.

Server Config Rules y wp-config.php Rules – Reglas de configuración del servidor y de wp-config.php

Como puedes ver en la imagen de las opciones avanzadas, estos dos apartados te deberían salir en gris y sin nada que configurar dentro. Es posible que tras terminar con el resto de configuraciones del post, te aparezca algún tipo de texto en estas áreas. Déjalos según te vienen.

Opciones Recomendables

Y vamos ahora con la parte más larga. Sé que puede ser muy tedioso tener tantas opciones y saber cuáles hay que configurar y cómo, pero ten en cuenta que el beneficio que nos aporta cada una de estas opciones vale su peso (en este caso bytes) en oro.

Global Settings – Ajustes Globales

Aquí nos encontramos una configuración básica sobre dónde puede actuar este plugin. Para que iThemes Security pueda modificar los aspectos de seguridad que le indiquemos en los archivos wp-config.php y htaccess, la primera casilla donde dice “Permitir a iThemes Security modificar los archivos wp-config.php y .htaccess.” debe estar activada. En email de notificación pon tu correo electrónico. En caso de que se te deba notificar por algo, te lo enviarán a tu correo electrónico. Recomiendo activar también la casilla Send Digest Email o Enviar correo electrónico programado. Con esta casilla activada permites que iThemes Security te condense en un solo email por día todas las notificaciones que te enviaría en caso de ataques continuados u otra serie de notificaciones seguidas. En Backup Delivery Email o Email de Entrega de Respaldo puedes poner tu email para que te envíe las copias de seguridad a él.

Si prefieres que iThemes Security se encargue de hacer las copias de seguridad no te olvides de poner ahí tu email.

El resto de opciones van referidas a evitar los intentos de login en tu WordPress sin tu consentimiento y los bloqueos a los usuarios y equipos que lo intentan, así como a enviarte un email cada vez que algún extraño intenta entrar a tu WordPress. Estas configuraciones están bien como vienen por defecto así que te aconsejo dejarlas como están. En el apartado Lockout White List o Lista Blanca de Bloqueo puedes poner tu IP para que el plugin no te confunda con usuarios o equipos con malas intenciones y no te bloquee.

404 Detection – Detección 404

Habilita este apartado y ve a Configurar Ajustes o Configure Settings. 404 Detection sirve para detectar y bloquear a los usuarios o herramientas que, de forma sistemática y malintencionada, intenten entrar en URLs que no existen (salta el error 404) para intentar atacarte. Por defecto está bien configurada.

Away Mode – Modo de Reposo

Como norma general esta área estará desactivada si sueles entrar con frecuencia a WordPress o no tienes unas horas determinadas al día para usarlo. Sin duda, iThemes Security te ofrece una opción que es muy interesante si siempre dispones de la misma franja horaria para entrar a tu WordPress y quieres tenerlo más seguro el resto del día. También es un punto extra de seguridad al utilizarla si tienes una empresa y quieres que tu empleado solo pueda acceder al WordPress de la empresa en un horario en concreto.

Away Mode sirve para limitar el acceso a tu WordPress unos días o a unas horas determinadas. Por ejemplo; si siempre entras a WordPress de 8 a 11 de la mañana todos los días, puedes limitar el acceso a este el resto del día durante todos los días.

Banned Users – Usuarios Baneados

Sirve para mejorar la seguridad de WordPress al banear usuarios o equipos desde este plugin sin tener que configurar nada de tu servidor. Activa las dos casillas para tener la lista negra actualizada de todos aquellos usuarios o equipos indeseables recogidos por HackRepair.com.

Local Brute Force Protection – Activar Protección contra Fuerza Bruta

Habilita esta medida de seguridad para protegerte contra los ataques por fuerza bruta que intentan acceder a tu WordPress login. Limita los intentos fallidos que un usuario o una herramienta puede utilizar para acceder a tu WordPress ya sea desde un mismo servidor o por un ataque masivo. La última casilla es conveniente activarla: se encarga de banear directamente a todo aquel que intenta entrar en tu WordPress usando “Admin” como nombre de usuario. Como ya vimos antes, Admin es el nombre de usuario que WordPress da por defecto y es el nombre de usuario que más usan los sistemas de hackeos para entrar en WordPress ajenos así que totalmente recomendable tener esta casilla activada.

Database Backups – Copias de Seguridad de Bases de Datos

Personalmente utilizo un plugin diferente para realizar las copias de seguridad en WordPress ya que me gusta tener un plugin más especializado y que los backups me lleguen a mi Dropbox. Así que la tengo desactivada. Si prefieres utilizar la copia de seguridad que ofrece iThemes Security habilita esta opción y activa las 3 casillas para poder tener tus backups y programarlas para que se hagan cada el periodo de tiempo que indiques.

Ten en cuenta que las copias de seguridad se enviarán al email que hayas indicado en la opción Global Settings > Backup Delivery Email.

File Change Detection – Detección de Cambios de Archivo

Esta área detecta cualquier cambio que se hagan en los archivos internos de tu WordPress. Te aconsejo tenerla desactivada ya que cualquier modificación como la actualización de plugins o del theme, la instalación de plugins, cualquier cambio en algún tema o al incluir o eliminar algún archivo por FTP, sería detectada por esta medida de seguridad.

File Permissions – Permisos de archivos

Aquí puedes ver los permisos que tienen las diferentes carpetas de tu directorio, su estatus y su valor sugerido. No considero muy importante esta característica.

Network Brute Force Protection – Protección contra fuerza bruta en la red

Activando este apartado te unes a un red de sitios WordPress que reportan y te protegencontra equipos malos que circulan por internet. Cualquier usuario con malas intenciones que haya sido pillado en algún sitio WordPress será también bloqueado en el tuyo. Si quieres activar esta medida de seguridad tendrás que introducir tu correo electrónico para que te pongan directamente la clave de activación. Muy recomendable, incluso diría que imprescindible.

SSL

Es el certificado del protocolo HTTPS para aumentar la seguridad de tu WordPress. Todos los datos entre tu sitio, tu servidor y los usuarios irán cifrados por lo que es imposible detectarlos. Puedes activar esta opción para proteger todo nuestro sitio web o para algunas páginas en concreto. Antes de activarla asegúrate de que tu servidor de hosting soporte el certificado SSL. Una medida muy recomendable que he implementado hace poco en este blog. Además, Google está teniendo esto muy en cuenta a la hora de posicionar una web, así que no lo pases por alto.

Strong Password Enforcement – Refuerzo de la Seguridad de la contraseña

Esta alternativa se utiliza para obligar a todos los usuarios que se registren que utilicen una contraseña muy fuerte (con números, caracteres, mayúsculas y minúsculas) para poder registrarse. Puede resultar interesante tener esta opción activada si gestionas un foro o un zona privada donde los usuarios tengan que registrarse y quieras que lo hagan con una contraseña muy fuerte. Para blogs o webs con pocos o un usuario no la recomiendo.

System Tweaks – Ajustes del sistema

Aquí puedes aumentar la seguridad en WordPress cambiando la configuración de ithemes security con este apartado.

Para que no haya problemas de conflictos con este u otros plugins las casillas que recomiendo tener activadas son:

  • Filtrar Métodos de Petición o Filter Requests Methods
  • Filtrar cadenas de petición sospechosas en el URL o Filter Suspicious Query Strings in the URL
  • Filtrar cadenas de URL largas o Filter Long URL Strings
  • Desactivar PHP en uploads o Disable PHP in Uploads

Si no utilizas el Framework Genesis también deberías activar la opción Disable Directory Browsing (Genesis y sus temas hijos ya lo incluyen) para que los usuarios no puedan acceder a archivos y directorios que no quieres que vean de tu sitio como por ejemplo el directorio /uploads/.

WordPress Tweaks – Ajustes de WordPress

Con esta elección puedes aumentar la seguridad modificando algún comportamiento de WordPress.

En cuanto a las casillas de esta ventana, aconsejo tener activadas todas excepto estas dos:

  • Desactivar editor de archivos o Disable File Editor
  • Enlista una versión segura de jQuery o Enqueue a safe version of jQuery

Además hay dos secciones que hablan de XML-RPC donde debes elegir entre una de las opciones:

  • En la primera tendrás que seleccionar “Enable XML-RPC” si utilizas el plugin Jetpack o la app para móviles de WordPress. Si no los utilizas elige la alternativa “Disable XML-RPC”.
  • En la segunda sección es muy recomendable elegir “Block”. Hasta iThemes Security dice que es altamente recomendable utilizarla.

Quiero hacer incapié en la opción con casilla Deshabilitar mensajes de error de inicio de sesión o Disable login error messages.

La considero muy importante y recomiendo activarla para que, si alguien intenta acceder a tu WordPress y falla, no le salga el mensaje: “Error: la contraseña que has introducido para el usuario X es incorrecta. ¿Has perdido tu contraseña? (Con un link para restablecer la contraseña)”.

Si no le sale este mensaje al fallar el intento de login consigues dos cosas:

  1. Que el usuario o la herramienta no sepa si el nombre de usuario que ha puesto es el correcto.
  2. No facilitarle un enlace para recuperar la contraseña al haber acertado con el nombre de usuario.

WordPress Salts – Salts de WordPress

Es un mecanismo interno del CMS WordPress (tú no notarás nada) que añade elementos aleatorios a las contraseñas. Con esto conseguirás que sea muchísimo más difícil romper las capas de seguridad del sitio web o blog WordPress. Si ya utilizas unas contraseñas muy fuertes (cosa que te aconsejo rotundamente), al implementar esta funcionalidad será casi imposible que un programa pueda dar con cualquier de tus contraseñas. A ti no te supone ningún inconveniente ni cambia ninguna de tus contraseñas.

Al activar la casilla y guardar los cambios saldrás de WordPress y tendrás que volver a hacer login con la misma contraseña que tenías. Si vuelves a meterte en esta sección, verás la casilla desactivada y parecerá que no ha pasado nada, pero internamente se han generado unas contraseñas bastante fuertes que puedes ver en tu archivo wp-config.php (desde el cPanel).

Directorio de Web hosting Venezuela